告别踩坑:Kubernetes 集群节点的四大核心配置指南

原创 已于 2025-08-20 19:41:04 修改 · 207 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2025-08-20 19:10:57 首次发布

部署 Kubernetes 集群,不仅仅是执行 kubeadm init 命令那么简单。每个节点主机的底层配置,直接决定了集群的稳定性、性能和安全性。本篇文章将深入解析 Kubernetes 节点配置中的四大核心要素:Swap、DNS、防火墙和时间同步,并提供详细的实战配置指南。

1. Swap:为什么必须禁用?

核心要求: K8s 节点上严禁使用 Swap。这是 Kubernetes 官方的强制性要求。

深层原因:
Swap 机制将内存数据交换到硬盘,目的是防止内存耗尽。但在 Kubernetes 的高性能、高可用场景下,这会引发严重问题:

  • 性能灾难:硬盘的 I/O 速度远低于 RAM。一旦 Pod 发生内存交换,其性能将急剧下降,可能导致应用延迟飙升,甚至引发连锁反应影响其他 Pod。
  • 调度器误判:K8s 的调度器根据节点的真实资源情况(如 CPU、内存)来做出决策。Swap 的存在会使内存信息失真,导致调度器将 Pod 调度到看似有足够内存但实际上已经被 Swap 占用的节点上,造成资源分配不均。

实战配置:

  1. 临时禁用:使用 swapoff -a 命令来禁用所有活动的 Swap 分区或文件。
    sudo swapoff -a
  2. 永久禁用:这是最关键的一步。编辑 /etc/fstab 文件,该文件定义了系统启动时挂载的所有文件系统。
    sudo nano /etc/fstab
    找到其中包含 swap 关键词的行,通常类似于 /swapfile none swap sw 0 0。在其前面加上 # 将其注释掉,以防止系统重启后自动启用。
    # /swapfile none swap sw 0 0
    保存并退出文件即可。
  3. 验证:重启后,使用 free -h 再次确认 Swap 行的 totalused 都为 0B

2. DNS:确保内外网通信畅通

核心要求: 每个节点必须能够可靠地解析内外部域名。

深层原因:
DNS 在 Kubernetes 中扮演着至关重要的角色:

  • 外部域名解析:节点上的 kubelet 需要解析镜像仓库的域名(如 registry.k8s.io)来拉取镜像。如果 DNS 配置错误,Pod 将无法启动。
  • 主机名解析:在集群初始化和管理过程中,kubelet 和其他组件需要解析 kube-apiserver 的主机名。
  • 集群内部服务发现:尽管 Pod 内部的 DNS 解析由 CoreDNS 管理,但 CoreDNS 本身也依赖于节点主机的 DNS 来解析外部域名。

实战配置(以 Ubuntu 20.04+ 为例):
Ubuntu 默认使用 systemd-resolved 作为 DNS 解析器。

  1. 检查服务状态:确保 systemd-resolved 正在运行。
    sudo systemctl status systemd-resolved
    其状态应为 active (running)
  2. 验证本地解析器:检查 /etc/resolv.conf 文件。正确配置下,它会指向本地的 127.0.0.53 地址,这是 systemd-resolved 监听 DNS 请求的地址。
    cat /etc/resolv.conf
  3. 配置上游 DNS:如果你的网络环境没有自动分配 DNS,或者你想使用特定的 DNS 服务器,可以通过 netplan 进行配置。
    # /etc/netplan/01-netcfg.yaml
network:
  ethernets:
    eth0:
      dhcp4: true
      nameservers:
        addresses: [8.8.8.8, 114.114.114.114]
  version: 2
    修改后,执行 sudo netplan apply

3. 防火墙:安全与功能兼备

核心要求: 仅开放 Kubernetes 正常运行所需的特定端口,而不是关闭防火墙。

深层原因:
完全关闭防火墙会使主机的所有端口暴露在公网,存在巨大的安全风险。正确的做法是像一个守卫森严的大门,只允许 Kubernetes 组件之间以及外部管理工具的必要通信通过。

实战配置(以 UFW 为例):
以下是 Kubernetes 默认使用的关键端口。

协议端口范围来源目的说明
TCP6443所有节点主节点Kubernetes API Server
TCP2379-2380主节点主节点etcd server
TCP10250所有节点所有节点Kubelet API
TCP10251主节点主节点Kube-scheduler
TCP10252主节点主节点Kube-controller-manager
TCP30000-32767外部所有节点NodePort Services

ufw 命令行配置示例:

  1. 如果防火墙未启用,先启用它
    sudo ufw enable
  2. 添加规则
    # 所有节点都需要开放的端口
sudo ufw allow 10250/tcp comment 'Kubelet API'
sudo ufw allow 22/tcp comment 'SSH'
# 主节点专用端口
sudo ufw allow 6443/tcp comment 'Kubernetes API Server'
sudo ufw allow 2379:2380/tcp comment 'etcd server'
sudo ufw allow 10251/tcp comment 'kube-scheduler'
sudo ufw allow 10252/tcp comment 'kube-controller-manager'
# 工作节点专用端口 (NodePort)
sudo ufw allow 30000:32767/tcp comment 'NodePort Services'

4. 时间同步:分布式系统的心跳

核心要求: 所有节点必须通过 NTP 服务保持精确的时间同步。

深层原因:
时间同步在任何分布式系统中都至关重要,Kubernetes 也不例外:

  • 认证和授权:Kubernetes 的证书和令牌(Token)都有严格的有效期。如果节点时间不同步,一个节点的证书在另一个节点上可能被认为已过期,导致认证失败。
  • 日志和审计:不一致的时间戳会使日志分析变得异常困难。在排查问题时,你无法确定事件发生的真实顺序。

实战配置:
大多数现代 Linux 发行版都默认使用 systemd-timesyncdchronychrony 通常被认为是更精确、更专业的选择。

  1. 检查同步状态
    sudo timedatectl status
    确认 System clock synchronized 状态为 yes
  2. 配置 NTP 源
    • systemd-timesyncd:编辑 /etc/systemd/timesyncd.conf,在 [Time] 部分指定 NTP 服务器。
      [Time]
NTP=ntp.aliyun.com time.windows.com
      重启服务:sudo systemctl restart systemd-timesyncd
    • chrony:编辑 /etc/chrony/chrony.conf,注释掉默认的 NTP 源,添加你自己的。
      # pool ntp.ubuntu.com iburst
pool ntp.aliyun.com iburst
pool time.windows.com iburst
      使用 chronyc sources 检查同步情况。

总结

这四项核心配置,是确保 Kubernetes 集群稳定、安全运行的基石。它们不仅是技术要求,更是对主机运维的严谨态度。在部署集群前,请务必将这份清单作为你的自查手册,确保每一项都已妥善配置。这将为你未来的 Kubernetes 之旅节省大量宝贵的故障排查时间。

Kubernetes集群方方面面实战教程学习线路指南
江晓龙的博客
10-31 7万+
Kubernetes集群方方面面实战教程学习线路指南 学习路线指南 欢迎大家来到jiangxl~的《Kubernetes集群方方面面进阶之路》专栏,本文给大家详细列出Kubernetes集群方方面面每一章节文章指南,大家可以根据自己的需求阅读想要学习的文章。 本专栏涵盖Kubernetes集群方方面面的技术总结,包括高可用集群、Pod资源、Pod资源控制器、配置存储、数据存储、安全框架等各方面深入解析、Helm包管理机制、Istio网格服务,以及基于Kubernetes集群的CI/CD流程设计及实现,总文章
云原生技术实践:Kubernetes集群的部署与运维
Programming Talk
03-10 1110
通过掌握这些技术和方法,我们可以更好地利用Kubernetes进行应用程序的部署和管理,提高系统的稳定性和可靠性。同时,随着云原生技术的不断发展,我们还需要不断学习和探索新的技术和解决方案,以适应不断变化的市场需求和技术挑战。我们需要选择一个合适的网络插件(如Calico、Flannel等),并配置相应的网络策略,确保集群内部和集群之间的通信正常。以下是一个简单的Kubernetes集群部署示例,演示了如何使用Kubeadm部署一个包含一个Master节点和一个Worker节点集群
从零开始:Kubernetes 集群的搭建与配置指南,超详细,保姆级教程
m0_74825223的博客
12-05 1311
本文详细讲解了如何从零开始搭建一个 Kubernetes 集群。希望本文对您的学习和工作有所帮助。
运维打铁: Kubernetes 集群管理与故障排除
最新发布
懂搬砖
07-01 1096
Kubernetes 集群管理和故障排除是运维工作中的重要任务。通过深入理解 Kubernetes 的架构组件和核心概念,掌握集群部署、节点管理和资源管理的方法,以及学会使用故障排查工具和最佳实践,可以有效地管理和维护 Kubernetes 集群,确保集群的稳定运行。同时,不断学习和实践,积累经验,才能在面对复杂的故障时迅速定位和解决问题。
【K8s】专题十一:Kubernetes 集群证书过期处理方法
运维、实施交付领域知识交流
08-12 2321
Kubernetes 专题 - 集群证书过期处理方法
JAVA:Kubernetes 常见面试题的技术指南
木头
02-21 1245
Kubernetes(K8s)是一个开源的容器编排平台,用于自动化容器化应用的部署、扩展和管理。核心概念包括: Pod:最小部署单元,封装一个或多个容器,共享网络和存储。 Namespace:逻辑隔离环境,用于资源管理和多租户支持。 Deployment:管理 Pod 副本和滚动更新,确保应用高可用。 Service 与 Ingress:Service 提供内部负载均衡,Ingress 管理外部 HTTP/HTTPS 路由。
Kubernetes集群深度解析:节点、服务与自动化管理
silenceallat的博客
03-22 1590
本文深入探讨了Kubernetes集群核心组成,即Master节点、Worker节点与服务发现。通过高可用配置和弹性伸缩功能,我们能够确保集群的稳定性和灵活性。Master节点作为控制中心,Worker节点负责运行应用,服务发现则简化了应用间的通信。这些组件的协同工作,使得Kubernetes成为现代容器编排的最佳实践。
拥抱云原生Kubernetes 集群上的可扩展多节点 Cassandra 部署
gitblog_00459的博客
08-29 779
拥抱云原生Kubernetes 集群上的可扩展多节点 Cassandra 部署 在当今数据驱动的世界中,高效、可扩展的数据库解决方案是企业成功的关键。Apache Cassandra,作为一个高度可扩展的NoSQL数据库,因其出色的性能和容错能力而备受青睐。今天,我们将深入探讨一个开源项目,它将Cassandra的强大功能与Kubernetes的灵活性相结合,为您提供一个无缝、高效的数据管理解决...
Kubernetes故障篇:Kubernetes集群master节点断电后etcd数据库崩溃》
东城绝神
05-06 3542
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
KubernetesKubernetes集群安装与配置.docx
08-28
KubernetesKubernetes集群安装与配置.docx
kubernetesKubernetes集群
02-11
Kubernetes集群由以下组件组成: RestAPI应用 Elasticsearch集群 3个主节点 2个从节点 Redis集群 RabbitMQ集群 ![Alt Kubernetes群集] k8s.svg $ k get all NAME READY STATUS RESTARTS AGE pod/daemonset-8s4zs...
搬运工:Kubernetes集群的裸机负载平衡器
02-03
是为裸机Kubernetes集群设计的开源负载均衡器。 它由物理交换机实现,并使用BGP和ECMP来实现最佳性能和高可用性。 为什么选择波特 众所周知,在云托管的Kubernetes集群中,云提供商(AWS,GCP,Azure等)通常提供...
关于linux中使用source /etc/profile重新读取配置后,新的环境变量只能在当前终端里面有效,新开的终端提示 command not found
daihaoxin的专栏
06-04 4096
在使用`linux`桌面环境(通常是`ubuntu/debian/deepin`等版本的`linux`)的时候,新增环境变量后,会使用`source /etc/profile`命令使新的环境变量立刻生效而不用重新启动系统。但经常会遇到使用`source /etc/profile`命令之后,新的环境变量只能在当前终端里面有效,而在新打开的终端中,使用新的环境变量就找不到了。
linux命令之目录创建和tree命令
daihaoxin的专栏
11-12 2122
mkdir创建目录,rmdir 删除目录,tree打印目录树
centos之rpm包管理器全解
daihaoxin的专栏
06-11 1823
`rpm` 是 redhat package manager 的缩写,redhat 贡献出来的软件包管理工具,是`linux`红帽系包管理事实上的标准。它能够将源代码编译并打包成为符合`rpm`机制的程序包,在软件包里会有默认的清单列表,例如软件包加密的特征码、安装时需要依赖的其他程序包列表等。 这样在安装的时候,`rpm`就会使用特征码对软件包做来源和有效性验证,然后根据依赖列表来查看系统是否满足依赖要求等,如果一切顺利在安装完成后,将安装信息整个的写入`rpm`的数据库,已备未来查询、验证和卸载等操作
Ubuntu Server 24 设置 WiFi 网络的方案
daihaoxin的专栏
05-25 1798
本文详细解析了在 **Ubuntu Server 24 系统中配置无线网络静态 IP 的全流程方案**,重点围绕 **Netplan 配置框架**展开。文章阐述了如何通过编辑 `/etc/netplan/` 下的 YAML 文件定义静态 IP 地址、子网掩码、网关及 DNS,同时集成 WiFi 的 SSID 和密码认证。深入探讨了 `networkd` 与 `NetworkManager` 两种网络渲染器的核心差异,指导用户根据服务器或桌面环境选择适配方案,并强调 **YAML 格式缩进规则**、**接口名
linux 基础笔记
daihaoxin的专栏
04-09 1391
文章目录修改主机名命令提示符 prompt关于命令命令的类型管理内部命令外部命令的执行命令的别名echo命令echo 高级用法常见命令查看硬件信息查看 CPU查看内存大小查看硬盘和分区情况查看系统版本信息查看系统架构查看内核版本查看操作系统发行版本用户登录信息查看命令whichwhereiswhow 修改主机名 # 临时生效 hostname HOST-NAME # 持久生效,支持 Centos 7 以上版本,支持 Ubuntu , 持久生效被写入到了 /etc/hostname hostnamectl s
linux文件查看命令file/stat/cat/touch/tail/head/less/more
daihaoxin的专栏
11-12 1213
linux文件查看命令file/stat/cat/touch/tail/head/less/more stat 命令 使用方式:stat FILE 显示文件或者文件系统的元数据。 文件一般有两类数据:元数据(matadata)和数据(data),元数据是用来描述文件本身的状态,数据是指文件具体的内容。 最近访问(Access time 又叫 atime)是指最后一次读取的时间,有时对于间隔很短的频繁读取,时间不发生改变。 最近更改(Modify time又叫 mtime)是指内容数据发生改变...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值